(W)LAN absichern/separieren

Begonnen von darkness, 27 März 2019, 10:28:37

Vorheriges Thema - Nächstes Thema

Wuppi68

Zitat von: darkness am 11 April 2019, 08:34:05
Habe ich schon. DHCP macht nur noch der Switch. Hatte du mir schon mal als Tipp gegeben, da es dann etwas leichter wird.

Die Lernkurve... ja, fühlt sich manchmal eher wie eine Lernrutsche an. Immer wenn ich denke etwas im Ansatz zu verstehen, ist es wieder ganz anders. Aber es hat ja auch seinen Grund, dass es Leute gibt die sowas lange lernen...

Eine Frage zum VLAN 1 default habe ich. Das VLAN1 scheint ja ein bisschen der Buhmann zu sein :)
Ich habe noch Geräte im VLAN 1 (zb. der PiHole).
Wenn ich es richtig verstanden habe, sollen keine Geräte im VLAN1 sein. Außerdem verwende ich auch noch Native VLAN 1 in den Porteinstellungen.

Ich habe es jetzt so verstanden, dass das Native VLAN alles auffängt, was ohne VLAN-Tag am Port ankommt und es eben in dieses VLAN packt. Soweit richtig?

Zum testen habe ich mir mal ein SG250 dazu geholt. Am SG350 habe ich auch ein Trunk-Port eingerichtet, der VLAN 40+50 Tagged und Native VLAN1 ist. Ebenso der GI1 am SG250.

VLAN40 ist mein Zocken-LAN.

Kann ich denn jetzt das Native VLAN auch auf 40 setzen? Nur ist dann der SG250 nicht mehr erreichbar (Adminoberfläche, hat eine IP aus dem 172.16.1 Netz).   Oder brauche ich das Native VLAN auch, um die Switchverwaltung durchzuführen?

VLAN1 sollte für "normale" Umgebungen das Management und native VLAN bleiben, es erspart Dir jede Menge Knoten im Kopf wenn Du z.B. einen neuen Switch bekommst (Neuer Switch hat VLAN1 default --> muss also an einen untagged Port im Mgmt LAN angeschlossen werden ... und jetzt stell den mal bitte auf das Mgmt LAN um ...)

Gedanklich würde ich das VLAN 1 als Infrastruktur VLAN sehen - dort sind alle wichtigen Netzgeräte mit ihren Mgm IPs vorhanden (Switche, PiHole, DNS, Fritte, APs, Unifi-Controller...)

Ich würde im Vl1 den DHCP Pool auch auf nur eine Adresse setzen und diese IP dann auch "nur" von einem ganz begrenzten Kreis Zugriff erlauben (z.B. Vl40) - quasi als Quarantäne

wenn Dein Mgm PC direkt via Kabel am Switch hängt kannst Du z.B. den Port auf untacked 40 (Zocken) stellen und gleichzeitig Vl1 tagged erlauben, jetzt kannst Du eine 2. (virtuelle) Netzwerkarte direkt im Vl1 am PC anlegen, Interface Down --> kein direkter Zugriff auf Infrastruktur; Interface Up --> Du hast Zugriff
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.

Wuppi68

Zitat von: darkness am 11 April 2019, 10:53:36
Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.

Du mischst noch 2 Themen miteinander ;-)

ein VLAN ist nur ein "LAN Kabel" --> NUR Layer 2 Switching - jeder in diesem VLAN sieht alle Pakete (wenn kein Bridging (ein Switch tut es) gemacht wird)

Packst Du in das VLAN ein TCP/IP Routerinterface wird auch Layer 3 Kommunikation darüber via TCP möglich - ohne Tricks klappt es auch nicht mit Broadcasts und Multicasts über die VLAN Grenzen hinweg ;-)

Für Deinen Fall: Also ohne Interface im VLAN keine Verbindung nach außen möglich
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Hallo,

kleiner Zwischenstand von meinem Projekt.

Mittlerweile habe ich den Zugriff auf den Switch geregelt. Allerdings nicht über die ACLs sondern mittels Management Access Method.
Und nachdem ich das mit In-/Outbound Traffic verstanden habe, kann ich auch ACL richtig einsetzen.

Für das WLAN habe ich einen Ubiquiti access Point im Einsatz, welcher mehrere WLANs aufspannt.
Die Fritzbox ist jetzt lediglich als Internet-Router und für die Telefone da.

Den Tag habe ich mal Versucht mittels VLC meinen Desktop auf meine VUSolo2-Box zu streamen. Hat auf die schnelle nicht geklappt. Kommt hier der Punkt MultiCast zum tragen? Habe ich mich bisher noch nicht mit beschäftigt.

Der Switch+VLAN ist wieder so ein Projekt, welches noch bisher nicht geahnte Folgeprojekte hervorruft ;)




Wuppi68

Zitat von: darkness am 29 April 2019, 10:01:04
Hallo,

kleiner Zwischenstand von meinem Projekt.

Mittlerweile habe ich den Zugriff auf den Switch geregelt. Allerdings nicht über die ACLs sondern mittels Management Access Method.
Und nachdem ich das mit In-/Outbound Traffic verstanden habe, kann ich auch ACL richtig einsetzen.

Für das WLAN habe ich einen Ubiquiti access Point im Einsatz, welcher mehrere WLANs aufspannt.
Die Fritzbox ist jetzt lediglich als Internet-Router und für die Telefone da.

Den Tag habe ich mal Versucht mittels VLC meinen Desktop auf meine VUSolo2-Box zu streamen. Hat auf die schnelle nicht geklappt. Kommt hier der Punkt MultiCast zum tragen? Habe ich mich bisher noch nicht mit beschäftigt.

Der Switch+VLAN ist wieder so ein Projekt, welches noch bisher nicht geahnte Folgeprojekte hervorruft ;)

klingt doch gut ;-)

Streamen als Unicast ist kein Thema ;-)

Multicast geht dann wirklich nur noch im selben VLAN ...PIM kann der Switch/Router nicht

Mach am Anfang nicht zu viel und lass zwischen durch immer wieder mal das gelernte Sacken ... das ganze wird extrem schnell dann extrem komplex
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen